O sygnalistach
informacje
Ochrona sygnalisty
CO NAS CZEKA W 2024 ROKU
Rada Ministrów na wtorkowym (2.04) posiedzeniu przyjęła projekt ustawy o ochronie sygnalistów. Zgodnie z zapowiedzią Ministerstwa Rodziny, Pracy i Polityki Społecznej już za kilka miesięcy zaczną funkcjonować w naszym systemie prawnym przepisy implementujące Dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii wprowadza szeroką ochronę sygnalistów (dalej „dyrektywa o sygnalistach”).
Dyrektywa o sygnalistach (2019/1937) wprowadza szereg wymogów, które dotyczyć będą zarówno kwestii ochrony danych jak i wewnętrznych procedur. Wdrożenie wymogów dyrektywy o sygnalistach wymagać będzie w szczególności:
- stworzenia i wdrożenia procedur obejmujących kwestie przyjmowania i rozpatrywania zgłoszeń sygnalistów, w tym ich ochrony
- przeszkolenia pracowników w zakresie praw i obowiązków związanych z ochroną sygnalistów
- określenia zasad bezpiecznego przyjmowania zgłoszeń
- zdefiniowania bezpiecznych kanałów dokonywania zgłoszeń
- dokonania oceny ryzyka przetwarzania danych osobowych pozyskiwanych w ramach zgłoszeń
- zaktualizowania klauzul informacyjnych, rejestrów czynności i innych dokumentów dotyczących ochrony danych osobowych
Motyw 76 dyrektywy o sygnalistach,
wskazuje, że państwa członkowskie powinny zapewnić, aby właściwe organy dysponowały odpowiednimi procedurami ochrony w zakresie przetwarzania zgłoszeń i ochrony danych osobowych osób, o których mowa w tych zgłoszeniach. Takie procedury powinny zapewniać ochronę tożsamości każdej osoby dokonującej zgłoszenia, osób, których dotyczy zgłoszenie, oraz osób trzecich, o których mowa w zgłoszeniu, na przykład świadków lub współpracowników, na wszystkich etapach procedury.
Pytania, które powinniśmy zadać:
Dyrektywa o sygnalistach ma zastosowanie do osób dokonujących zgłoszenia, pracujących w sektorze prywatnym lub publicznym, które uzyskały informacje na temat naruszeń w kontekście związanym z pracą, w tym co najmniej do:
- osób posiadających status pracownika, w tym urzędników służby cywilnej;
- osób posiadających status osób prowadzących działalność na własny rachunek;
- akcjonariuszy lub wspólników oraz osób będących członkami organu administrującego, zarządzającego lub nadzor czego przedsiębiorstwa, w tym członków niewykonawczych, a także wolontariuszy i stażystów, bez względu na to czy otrzymują oni wynagrodzenie;
- osób pracujących pod nadzorem i kierownictwem wykonawców, podwykonawców i dostawców;
- osób dokonujących zgłoszenia w przypadku, gdy dokonują one zgłoszenia lub ujawnienia publicznego informacji na temat naruszeń, jakie uzyskały w ramach stosunku pracy, który już ustał.
- osób dokonujących zgłoszenia, których stosunek pracy ma zostać dopiero nawiązany, w przypadku gdy informacje na temat naruszeń uzyskano w trakcie procesu rekrutacji lub innych negocjacji poprzedzających zawarcie umowy.
Zgodnie z treścią art. 6 ust. 1 dyrektywy o sygnalistach, osoby dokonujące zgłoszenia kwalifikują się do objęcia ochroną na mocy dyrektywy, pod warunkiem że:
- miały uzasadnione podstawy, by sądzić, że będące przedmiotem zgłoszenia informacje na temat naruszeń są prawdziwe w momencie dokonywania zgłoszenia i że informacje takie są objęte zakresem stosowania niniejszej dyrektywy; oraz
- dokonały zgłoszenia wewnętrznego zgodnie z art. 7 (dyrektywy) albo zgłoszenia zewnętrznego zgodnie z art. 10 (dyrektywy) lub dokonały ujawnienia publicznego zgodnie z art. 15 (dyrektywy).
Przepisy dyrektywy o sygnalistach dotyczą zarówno sektora prywatnego jak i publicznego. Należy zwrócić uwagę, że w przypadku sektora publicznego naruszenie wymogów dotyczących sygnalistów może stanowić czyn zabroniony w rozumieniu art. 231 kodeksu karnego, dotyczyć to może zarówno wdrożenia odpowiednich procedur i kanałów przyjmowania zgłoszeń jak i samego wykonywania tych procedur.
Do procesu obsługi zgłoszeń sygnalistów ma w pełni zastosowywanie RODO. Zgodnie z art. 17 akapit 1 dyrektywy o sygnalistach, przetwarzanie danych osobowych dokonuje się zgodnie z rozporządzeniem (UE) 2016/679 i dyrektywą (UE) 2016/680 (RODO). Należy chronić dane (w tym tożsamość i treść zgłoszenia) samego sygnalisty, ale też osoby, której dotyczy zgłoszenie.
Łatwo wyobrazić sobie konsekwencje wycieku informacji np. o możliwym molestowaniu, gdy finalnie nie zostanie potwierdzona.
Dyrektywa o sygnalistach dopuszcza możliwość przyjęcia mechanizmu zgłoszeń anonimowych. Zgodnie
z dyrektywą państwa członkowskie powinny mieć możliwość zdecydowania o tym, czy podmioty prawne
w sektorze prywatnym i publicznym oraz właściwe organy mają obowiązek przyjmowania anonimowych zgłoszeń naruszeń. Jednakże osoby, które dokonały anonimowego zgłoszenia lub anonimowego ujawnienia publicznego powinny być objęte ochroną na mocy niniejszej dyrektywy, jeżeli po dokonaniu zgłoszenia lub ujawnienia publicznego zostaną zidentyfikowane i doświadczą działań odwetowych.
Dyrektywa nie obejmuje:
- ochrony informacji niejawnych;
- ochrony prawniczej tajemnicy zawodowej i tajemnicy medycznej;
- tajemnicy narady sędziowskiej; lub
- przepisów dotyczących postepowania karnego.
Stosownie do dyrektywy o sygnalistach Państwa członkowskie zapewniają, by podmioty prawne w sektorze prywatnym i publicznym ustanowiły kanały i procedury na potrzeby dokonywania zgłoszeń wewnętrznych i podejmowania działań następczych, po konsultacji i w porozumieniu z partnerami społecznymi, jeżeli tak przewiduje prawo krajowe. Wskazany wymogów dotyczyć będzie podmiotów w sektorze prywatnym, zatrudniających co najmniej 50 pracowników (art. 8 ust. 3 dyrektywy). Wskazany próg ustanowienia kanałów zgłaszania naruszeń nie ma zastosowania do podmiotów objętych zakresem stosowania aktów Unii wymienionych w części I.B i II załącznika do dyrektywy (art. 8 ust. 4 dyrektywy o sygnalistach).
Zgodnie z dyrektywą o sygnalistach do przyjmowania zgłoszeń naruszeń w imieniu podmiotów prawnych w sektorze prywatnym i publicznym mogą również zostać upoważnione osoby trzecie, pod warunkiem że zapewniają należyte gwarancje poszano wania niezależności, poufności, ochrony danych i zachowania tajemnicy. Takimi osobami trzecimi mogą być dostawcy platform na potrzeby zgłoszeń zewnętrznych, zewnętrzni doradcy, audytorzy, przedstawiciele związków zawodowych lub przedstawiciele pracowników.